Evil Corp: una inmersión profunda en uno de los grupos de hackers más notorios del mundo

En 2019, el Departamento de Justicia de Estados Unidos presentó cargos contra el ciudadano ruso Maksim Yakubets, ofreciendo una recompensa de $ 5 millones por información que conduzca a su arresto.

Nadie ha presentado información que permita a las autoridades estadounidenses capturar a los escurridizos y misteriosos Yakubets hasta ahora. Todavía está en libertad, como líder de Evil Corp, uno de los grupos de hackers más famosos y exitosos de todos los tiempos.

Activa desde 2009, Evil Corp, también conocida como la banda Dridex o INDRIK SPIDER, ha apostado un asalto sostenido a entidades corporativas, bancos e instituciones financieras de todo el mundo, robando cientos de millones de dólares en proceso.

Echemos un vistazo a lo peligroso que es este grupo.

La evolución de Evil Corp

Los métodos de Evil Corp han cambiado considerablemente a lo largo de los años, ya que gradualmente evolucionó de un grupo típico de hackers de sombrero negro con motivaciones financieras a un equipo de ciberdelincuencia excepcionalmente sofisticado.

Cuando el Departamento de Justicia acusó a Yakubets en 2019, el Departamento del Tesoro de EE. UU.La Oficina de Control de Activos Extranjeros (OFAC) emitió sanciones contra Evil Corp. Dado que las sanciones también se aplican a cualquier empresa que pague un rescate a Evil Corp o facilite un pago, el grupo ha tenido que adaptarse.

Evil Corp ha utilizado un vasto arsenal de malware para atacar organizaciones. Las siguientes secciones analizarán las más notorias.

Dridex

También conocido como Bugat y Cridex, Dridex se descubrió por primera vez en 2011. Dridex, un troyano bancario clásico que comparte muchas similitudes con el infame Zeus, está diseñado para robar información bancaria y generalmente se implementa a través del correo electrónico.

Usando Dridex, Evil Corp ha logrado robar más de $ 100 millones de instituciones financieras en más de 40 países. El malware se actualiza constantemente con nuevas funciones y sigue siendo una amenaza activa a nivel mundial.

Locky

Locky infecta las redes a través de archivos adjuntos maliciosos en correos electrónicos de phishing. El adjunto, un documento de Microsoft Word, contiene virus de macro. Cuando la víctima abre el documento, que no es legible, aparece un cuadro de diálogo con la frase: "Habilitar macro si la codificación de datos es incorrecta".

Esta sencilla técnica de ingeniería social suele engañar a la víctima para que habilite las macros, que se guardan y se ejecutan como un archivo binario. El archivo binario descarga automáticamente el troyano de cifrado, que bloquea los archivos en el dispositivo y dirige al usuario a un sitio web que exige el pago de un rescate.

Bart

Bart generalmente se implementa como una foto a través de correos electrónicos de phishing. Escanea archivos en un dispositivo en busca de ciertas extensiones (música, videos, fotos, etc.) y los bloquea en archivos ZIP protegidos con contraseña.

Una vez que la víctima intenta descomprimir el archivo ZIP, se le presenta una nota de rescate (en inglés, Alemán, francés, italiano o español, según la ubicación) y se le solicite que envíe un pago de rescate en Bitcoin.

Jaff

Cuando se implementó por primera vez, el ransomware Jaff pasó desapercibido porque tanto los expertos en ciberseguridad como la prensa se centraron en WannaCry. Sin embargo, eso no significa que no sea peligroso.

Al igual que Locky, Jaff llega como un archivo adjunto de correo electrónico, generalmente como un documento PDF. Una vez que la víctima abre el documento, ve una ventana emergente que le pregunta si quiere abrir el archivo. Una vez que lo hacen, las macros se ejecutan, se ejecutan como un archivo binario y cifran los archivos en el dispositivo.

BitPaymer

Evil Corp usó infamemente el ransomware BitPaymer para atacar hospitales en el Reino Unido en 2017. Desarrollado para dirigirse a las principales organizaciones, BitPaymer generalmente se entrega a través de ataques de fuerza bruta y exige altos pagos de rescate.

Relacionado:¿Qué son los ataques de fuerza bruta? Cómo protegerse

Las iteraciones más recientes de BitPaymer han circulado a través de actualizaciones falsas de Flash y Chrome. Una vez que obtiene acceso a una red, este ransomware bloquea archivos utilizando múltiples algoritmos de cifrado y deja una nota de rescate.

WastedLocker

Después de ser sancionado por el Departamento del Tesoro, Evil Corp pasó desapercibido. Pero no por mucho; el grupo resurgió en 2020 con un nuevo y complejo ransomware llamado WastedLocker.

WastedLocker generalmente circula en actualizaciones de navegador falsas, que a menudo se muestran en sitios web legítimos, como sitios de noticias.

Una vez que la víctima descarga la actualización falsa, WastedLocker se traslada a otras máquinas de la red y realiza una escalada de privilegios (obtiene acceso no autorizado mediante la explotación de vulnerabilidades de seguridad).

Después de la ejecución, WastedLocker cifra prácticamente todos los archivos a los que puede acceder y les cambia el nombre incluir el nombre de la víctima junto con "desperdiciado" y exige un pago de rescate entre $ 500,000 y $ 10 millón.

infierno

Descubierto por primera vez en diciembre de 2020, el ransomware Hades de Evil Corp parece ser una versión actualizada de WastedLocker.

Después de obtener credenciales legítimas, se infiltra en los sistemas a través de configuraciones de Red Privada Virtual (VPN) o Protocolo de Escritorio Remoto (RDP), generalmente a través de ataques de fuerza bruta.

Al aterrizar en la máquina de una víctima, Hades se replica y se relanza a través de la línea de comando. Luego se inicia un ejecutable, lo que permite que el malware escanee el sistema y cifre los archivos. Luego, el malware deja una nota de rescate, indicando a la víctima que instale Tor y visite una dirección web.

En particular, las direcciones web que deja Hades están personalizadas para cada objetivo. Hades parece haberse dirigido exclusivamente a organizaciones con ingresos anuales superiores a los mil millones de dólares.

PayloadBIN

Evil Corp parece estar haciéndose pasar por el grupo de piratas informáticos Babuk y desplegando el ransomware PayloadBIN.

RELACIONADO: ¿Qué es Babuk Locker? La banda de ransomware que debe conocer

Detectado por primera vez en 2021, PayloadBIN encripta archivos y agrega ".PAYLOADBIN" como una nueva extensión, y luego entrega una nota de rescate.

Presuntos vínculos con la inteligencia rusa

La empresa de consultoría de seguridad TruesecEl análisis de los incidentes de ransomware que involucran a Evil Corp reveló que el grupo ha utilizado técnicas similares que los piratas informáticos respaldados por el gobierno ruso utilizaron para llevar a cabo los devastadores Ataque SolarWinds en 2020.

Aunque es extremadamente capaz, Evil Corp ha sido bastante indiferente a la hora de obtener pagos de rescate, encontraron los investigadores. ¿Podría ser que el grupo implemente ataques de ransomware como táctica de distracción para ocultar su verdadero objetivo: el ciberespionaje?

Según Truesec, la evidencia sugiere que Evil Corp se ha "transformado en una organización de espionaje mercenario controlada por la inteligencia rusa, pero escondiéndose detrás de la fachada de un círculo de delitos cibernéticos, difuminando las líneas entre el crimen y espionaje."

Se dice que Yakubets tiene estrechos vínculos con el Servicio Federal de Seguridad (FSB), la principal agencia sucesora de la KGB de la Unión Soviética. Según los informes, se casó con la hija del oficial de alto rango del FSB Eduard Bendersky en el verano de 2017.

¿Dónde atacará Evil Corp después?

Evil Corp se ha convertido en un grupo sofisticado capaz de llevar a cabo ataques de alto perfil contra las principales instituciones. Como se destaca en este artículo, sus miembros han demostrado que pueden adaptarse a diferentes adversidades, lo que las hace aún más peligrosas.

Aunque nadie sabe dónde atacarán a continuación, el éxito del grupo destaca la importancia de protegerse en línea y no hacer clic en enlaces sospechosos.

Las 5 bandas organizadas de delitos informáticos más notorias

El ciberdelito es una amenaza que nos desafía a todos. La prevención requiere educación, por lo que es hora de aprender sobre los peores grupos de delitos cibernéticos.

Leer siguiente

Sobre el Autor